疾病预防控制机构计算机网络系统的建设

1、疾病预防控制机构计算机网络系统的建设1 1网络的设计、构成及建设的原则1.1. 1 1 网络的设计原则1.1. 1.1. 1 1 高可靠性。网络系统的稳定可靠是保证应用系统正常运行 的关键，在网络设计中应该选用高可靠性网络产品， 合理设计网络架 构，最大限度地支持系统的正常运行。1.1. 1.1. 2 2 灵活性及可扩展性。根据医院业务的增长和流程变化，计 算机网络应该可以平滑地扩充、 升级和调整， 最大程度地减少对网络 架构和现有设备的调整，保护原有建设投资。1.1. 1.1. 3 3 安全可管理性。随着医院应用规模和复杂程度的增加，网 络的管理维护和排除故障也越来越困难。 建立一个先进而完

2、善的可管 理的网络，对网络实行集中监测、分权管理，从而保证医院业务的安 全可靠运行。而实现安全可管理，往往需要软硬件结合的方式。1.1. 2 2 网络分离与分层设计。网络分离是指根据需要将不同用途的计 算机网络在物理上分开， 避免出现一个网络承载多种业务， 尤其是核 心业务。分层设计即按照接入层、汇聚层、核心层的层次结构进行设 计，分层设计利于网络扩展和灵活布置，对实现网络有效管理、提高 网络性能、预防病毒攻击、网络风暴等有重要作用。1.1. 3 3 分阶段建设。由于疾控机构信息化建设的特殊性、机构对信息 网络的投入、 机构管理层对于信息化建设的认识等原因， 疾病预防机 构计算机网络系统的建设

3、不可能一蹴而就， 在建设的初期就应该确定前瞻性、分阶段的建设原则，根据资金投入和阶段目标，兼顾未来发 展趋势进行建设。2 2网络构成图 疾病预防医疗机构网络示意图秉承网络分离的原则， 机构的计算机 网络由业务网 （内网） 、互联网 （ 外网） 、医保专网等三个相互隔离的网 络系统构成。在每个网络中，核心交换机均采用企业级核心交换机， 另外有汇聚层交换机， 接入层交换机， 核心交换机与汇聚交换机之间 用千兆光纤进行连接， 汇聚交换机与接入交换机之间、 接入交换机与 工作站之间采用百兆双绞线进行连接。 从地域结构上看， 接入层交换 机分布在大楼的各层， 每栋楼根据需要设置数台汇聚层交换机， 为了方

4、便管理， 每个汇聚层交换机可设置为一个独立的虚拟子网。 业务网 主要用于承载病区管理系统、医技科室管理系统、药品管理系统、财 务管理系统、 物资管理系统、 电子病案系统等系统的运行与互联网完 全隔离，网络结构稳定，用户行为相对单一。业务网中心服务器采用 两台服务器组成双机热备系统，实现了当 A A 机死机时，B B 机能在短时 间内实现接管，保证业务正常运行， 同时应建立了远程异地灾备系统。 业务网建立单独的域， 对于接入业务网的用户由域服务器进行权限控 制，系统管理员按照分级授权的原则设定资源访问权限。 在业务网的 管理上，主要是防病毒及协助用户使用业务软件。 互联网主要为了方 便机构医务人

5、员查找资料、对外发布疾控机构有关信息等。 由于安全 等原因，对接入互联网的用户需要实行相对比较复杂的管理方式， 包 括根据建筑物划分虚拟子网、 IPIP地址绑定、限制访问区域、端口屏蔽等有效的措施，同时应针对不同的网络用户，设置不同的 QOSQOS 策略。3 3软件系统构成 目前，医疗机构业务网软件系统主要有 HIS,PACS,HIS,PACS, LISLIS 、电子病历 系统等，实现了病人从挂号、缴费到出院的全程计算机管理，机构各 级领导可通过计算机调阅授权范围内的数据。互联网除了提供 HTTP,HTTP,FTPFTP 等传统业务外，开通机构中心内电子期刊系统也很有必要，医护 人员可以到中心

6、内电子阅览室查阅电子期刊， 也可在开通互联网业务 的病区计算机上查阅资料， 使得医护人员继续教育手段进一步多样化。 为了最大限度发挥计算机网络的功能，同时保证网络安全平稳运行， 需要使用各种网络管理软件及辅助工具。在机构的网络管理软件中， 主要包括网络拓扑管理、网上行为管理、流量管理、桌面管理、防病 毒软件等。 在这些软件的安装布置中， 有些是保证网络安全平稳运行 所必需的，例如防病毒软件等，有些是根据实际工作需要添加的，例 如，在实际工作中，根据统计，我们发现日常工作的多数问题是工作 站用户由于操作不当而引起，同时由于各用户节点遍及全院各建筑物， 因此为了能够及时处理这些可以通过远程协助解决

7、的问题， 采用了远 程桌面管理软件。通过这些工具，实现了准确、及时地处理问题。需 要注意的是， 对于疾控机构计算机网络系统而言， 在采用一套新的软 件时是需要十分慎重的。 在安装布置一套新软件之前， 需要先详细地 了解该软件的工作原理、工作性能、健壮性、兼容性等特性。然后在 特定范围内进行试用，针对出现的网络异常情况 （如网速下降、部分 掉线等 ） 进行认真分析，确定是否是新软件引起、是否对网络安全平稳运行构成威胁及如何处理。 软件安装布置完成后， 系统管理员要定 时收集网络性能参数，对异常及时处理防患于未然。如在ARPARP 攻击、熊猫烧香等病毒爆发前，网络中均会出现比较明显的异常。4 4

8、网络管理4.4. 1 1 安全管理对于网络的安全管理主要由以下几部分构成 : : 权限管理、防病毒管 理、设备管理等。 安全管理的基本任务就是对网络的日常巡查和性能 监视，如每天察看流量日志、 安全日志等并进行认真分析确定有无异 常情况，对网络应用软件进行及时升级更新。 一个核心是制定一套完 善可行的管理制度， 保证每项工作都有人员具体负责， 保证每一次操 作都是规范和允许的。坚持对管理人员、操作人员集中培训，从而大 大降低人为因素引入的安全问题。4.4. 2 2 服务管理 在计算机网络系统建立完成后，系统管理员应该根据实际运行情况 和用户行为模式制定服务策略。例如，对于互联网网络带宽的分配，正常办公时间行政部门对带宽需求大，那么分配上就要适当倾斜，而在非办公时间， 带宽就要对电子阅览室适当倾斜， 因为此时有更多的 人员去电子阅览